韓国国内の VPN インストールから MeshAgent 感染へと続く攻撃事例の分析 Posted By ATCP , 2023년 05월 26일 AhnLab Security Emergency response Center(ASEC)では、過去のブログ記事「韓国国内の VPN インストーラーに含まれて拡散している SparkRAT」[1]で、韓国国内の VPN プログラムのインストーラーに SparkRAT を含んで誘導していた事例を紹介した。この…
ASEC マルウェア週間統計 ( 20230515~20230521 ) Posted By ATCP , 2023년 05월 24일 ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年5月15日(月)から5月21日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが43.8%と1位を占めており、その次にダウンローダーが36.9%、バックドアが15.3%、ランサムウェアが3.4%、コインマイナーが0.6%の順に集計された。 Top 1 –…
スペインのユーザーを対象に拡散している StrelaStealer Posted By ATCP , 2023년 05월 24일 最近 ASEC(AhnLab Security Emergency response Center)分析チームは、スペインのユーザーを対象として情報流出型マルウェアの StrelaStealer が拡散していることを確認した。StrelaStealer マルウェアは2022年11月ごろに初めて発見され、スパムメールの添付ファイルを通じて配布されている。添付ファイルには ISO ファイルが利用されてきたが、最近は ZIP…
ASEC 週間フィッシングメールの脅威トレンド (20230507 ~ 20230513) Posted By ATCP , 2023년 05월 23일 AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年05月07日から05月13日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 72%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ…
Windows IIS Web サーバーを狙う Lazarus グループ Posted By ATCP , 2023년 05월 23일 AhnLab Security Emergency response Center(ASEC)は、国家レベルのサポートを受ける攻撃グループとして知られている Lazarus グループが、最近 Windows IIS Web サーバーを対象に攻撃を実行したことを確認した。一般的に攻撃者たちはスキャンの結果、脆弱なバージョンを持つ Web…
スパムメールで拡散している DarkCloud インフォスティーラー Posted By ATCP , 2023년 05월 23일 最近 ASEC(AhnLab Security Emergency response Center)では、スパムメールを通じて DarkCloud マルウェアが配布されていることを確認した。DarkCloud は感染システムに保存されているユーザーのアカウント情報を窃取するインフォスティーラーマルウェアで、攻撃者は DarkCloud 以外にも ClipBanker…
Kimsuky グループの対北朝鮮関係者を対象としたフィッシング攻撃 Posted By ATCP , 2023년 05월 22일 最近 AhnLab Security Emergency response Center(ASEC)では、Kimsuky グループが韓国国内の特定国策研究機関の Web メールサイトと同じサイトを製作した状況を確認した。 ASEC は今年の初めに韓国国内の大型ポータルサイトである「NAVER [1]…
Meterpreter を利用して Web サーバーを攻撃する Kimsuky グループ Posted By ATCP , 2023년 05월 22일 AhnLab Security Emergency response Center(ASEC)では最近、Kimsuky 攻撃グループが Web サーバーを対象にマルウェアを配布していることを確認した。Kimsuky は北朝鮮のサポートを受けていることが分かっている脅威グループであり、2013年から活動を続けている。初期には韓国の北朝鮮と関連した研究機関等への攻撃を行っており、2014年には、韓国のエネルギー機関への攻撃を行った。2017年以降は、韓国以外の他の国への攻撃も行っている。[1] ASEC ではブログを通して Kimsuky グループの様々な攻撃事例を解析および公開しており、主にメールに…
MS-SQL サーバーの sqlps.exe ユーティリティを悪用した Remcos RAT の拡散 Posted By ATCP , 2023년 05월 22일 AhnLab Security Emergency response Center(ASEC)では最近、不適切に管理されている MS-SQL サーバーを対象に Remcos RAT がインストールされていることを確認した。このような事例は2022年2月に当社のブログを通じて紹介したことがある。 今回の事例は当時の配布方式とは異なり、配布時に攻撃者が sqlps…
韓国国内の VPN インストーラーに含まれて拡散している SparkRAT Posted By ATCP , 2023년 05월 19일 最近 AhnLab Security Emergency response Center(ASEC)は、特定 VPN プログラムのインストーラーに SparkRAT が含まれて拡散しているいることを確認した。SparkRAT は Go…
